病院の停止、暗号ボットネット、そして巧妙なZipファイルをつなぐものとは? それはランサムウェアの混沌
オハイオ州にある、14の医療センターを抱える巨大な非営利病院ネットワークが、サイバー犯罪者によって機能不全に追い込まれました。
犯人はおそらく、Interlockランサムウェアを使用するグループと見られています。
選択的手術はキャンセルされ、外来の予約は停止されました。
そしてさらに悪いことに、病院スタッフになりすました詐欺師が患者に電話をかけ、クレジットカード番号を聞き出そうとする事態まで発生しました。
「あなたのネットワークは侵害され、最も重要なファイルは私たちが保護している」
— Interlockグループによる実際の身代金メモより
ランサムウェアをIT部門だけの問題だと思っているなら、考え直してください。
今やそれは、病院、金融機関、さらにはあなたのスマート冷蔵庫にまで影響を及ぼしているのです。
以下は、最新の脅威インテリジェンスレポートから注目すべき点の一部です。
※完全版はColorTokens公式サイト(英語)からご覧いただけます
1. Interlockランサムウェア集団が本格的に動き出した
Kettering Healthは公式には認めていませんが、すべての兆候はInterlockランサムウェア集団を指しています。
このグループは昨年秋に突如登場したばかりの新参ですが、すでに大胆な動きを見せており、確認されている被害者は30件以上にのぼります。
しかも、単なるファイルのロックと身代金要求にとどまりません。
このグループは事前の偵察を行い、リモートアクセス型トロイの木馬(RAT)を仕込み、支払いがなければ盗んだデータを公開すると脅してきます。
まったくもって厄介な連中です。
病院はダウンタイムを許容できません。
文字通り、命がかかっているのです。
2日間のシステム停止は、単なる不便ではなく、患者の安全を脅かす危機に直結します。
さらに、詐欺師がこの混乱に乗じて患者を標的にフィッシングを仕掛けてくるとなれば、それはまさに傷口に塩を塗るようなものです。
2. PyTorchとChromeの脆弱性:あなたのコードがバックドアに変わる
「すべてを中断して今すぐパッチを当てるべき」深刻な脆弱性が2件、明らかになりました。
- PyTorch(あの機械学習フレームワーク):間違ったモデルを読み込むだけで、攻撃者が悪意のあるコードを実行できてしまいます。例えweights_only=Trueを使っていても、です。うっかりでは済みません
- Google ChromeのV8エンジン:危険なアウト・オブ・バウンズ書き込みにより、悪意のある人物がコードを実行し、マシンを乗っ取る可能性があります
これらのバグは、まるで地下室にある静かで目に見えない落とし穴のようなもので、ネットワークに直結する危険な経路となり得ます。
開発者やITチームは、できるだけ早急にパッチを適用する必要があります。
特にPyTorchの脆弱性は深刻度スコアで10点中9.3点という高評価を受けており、決して歓迎できるスコアではありません。
3. Remcos RATが再登場――しかもさらに巧妙に
Remcos RAT(リモートアクセス型トロイの木馬)が、ファイルレス攻撃として再び確認されています。
これは、メモリ上だけで実行されるため、まるで忍者のようにアンチウイルスを回避します。
税務書類を装ったZIPファイルを通じて配布され、被害者がショートカット(LNK)ファイルを開くと、本当の攻撃が始まります。
気づけばシステムが、readysteaurants[.]comといった怪しげなドメインにアクセスし、キーストローク、スクリーンショット、クリップボードの内容を送信し始めるのです(本当にそういう名前です)。
ファイルレスマルウェアは、ほとんどデジタルの痕跡を残しません。
従来のセキュリティツールでは検知が難しいのです。この種のマルウェアは、データ窃取、スパイ行為、そしてビジネスシステムへの徐々に進行する侵入に最適であり、特に防御体制が限られている中小のフィンテック企業にとっては大きな脅威となります。
4. PumaBotがあなたのIoTデバイスを狙う――そして狙いは暗号通貨マイニングだけではない
このマルウェアは、LinuxベースのIoTデバイス――たとえば防犯カメラ、スマートセンサー、産業用コントローラーなど――を標的にしています。
インターネット全体をスキャンするのではなく、コマンド&コントロールサーバーから「標的リスト」を受け取り、それに基づいてSSHのブルートフォース攻撃を仕掛けてきます。
一度侵入すると、たとえばredis.serviceといったシステムの一部を装い、再起動しても生き残り、暗号通貨のマイニングを始めます。
そして、ログイン操作を静かに記録することでSSH認証情報を盗み取るルートキットもインストールされます。
あなたのIoTデバイスは、おそらく強固なファイアウォールの背後にはありません。
セキュリティチェーンの中で最も脆弱なリンクである可能性があります。
そして、PumaBotはそのことをよく知っています。
5. 詐欺師はますます賢く、そして“人間らしく”なっている
Kettering Healthの件に戻りましょう。
システム停止による混乱の最中、偽の病院職員を名乗る人物からカード決済を求める電話が人々にかかってくるようになりました。
これが元の攻撃の一部だったかは確認されていませんが、犯罪者の視点から見れば、混乱しているタイミングを狙った非常に賢い手口です。
人間の心理は武器になります。
人がストレスを感じていたり不安になっているときほど、個人情報を渡してしまう可能性が高くなります。
ソーシャルエンジニアリングは今後もなくなることはなく、むしろますます巧妙になっています。
今すぐできる対策は?
まずはすぐに着手できる基本から始めましょう:
- ラテラルムーブメントを防ぐため、ゼロトラストの仕組みを導入しましょう。特に侵害の拡大を防ぐことに特化した最先端のマイクロセグメンテーションツールを、すぐにでも活用するべきです
- すべてにパッチを適用してください。特にChrome、PyTorch、そしてMicrosoft OfficeやCommvaultが関係するスタック全体に注意が必要です
- 医療システムの防御を強化しましょう。医療系IoTデバイスを監視し、ランサムウェア対応プレイブックを常に最新に保つことが大切です
- PowerShellの使用を制限し、異常な使用がないか監視してください。Remcosは暗闇の中で活動します
- IoTデバイスのログインとシステムサービスを監査してください。少しでも怪しいと感じたら、それは高確率で本当に危険です
- 従業員教育を徹底してください。本当に。例えば「当社がお電話でクレジットカード情報を求めることはありません」といった台本が、顧客やブランドを救う可能性があります
全体像を知りたいですか?
このブログは、表面をなぞったに過ぎません。
完全版の脅威インテリジェンスレポートでは、誰が何を攻撃し、どのように侵入しているのか、そして迅速に対応しなかった場合に何が危険にさらされるのかを徹底的に掘り下げています。
Interlockのようなランサムウェア集団から、PumaBotのようなステルス型の攻撃者まで、すべてが網羅されており、CVE情報、攻撃チェーン、対策手順など、先手を打つために必要な情報が詰まっています。
迅速なパッチ適用、より賢い脅威ハンティング、あるいは何から始めるべきか迷っている方へ――私たちはいつでもお手伝いします。
ぜひColorTokens(カラートークンズ)日本語公式サイトからお問い合わせください。
翻訳元記事
「What Links Hospital Outages, Crypto Botnets, and Sneaky Zip Files? A Ransomware Chaos」
公開日:2025/6/5
著者:ColorTokens Editorial Team
※本記事では、アメリカのサイバーセキュリティ企業 ColorTokens(カラートークンズ)社が発信しているセキュリティ情報(英文)を、日本の代理店である株式会社電巧社が許諾を得て日本語に翻訳し、要約して掲載しています
※記事は掲載後に修正される可能性がございますので、ご了承ください
※過去の記事もアップしておりますので、現在の情報と異なる可能性がございます。上記の公開日をご参考ください
この記事の著者:電巧社セキュリティブログ編集部
